Безопасность: как повысить безопасность серверов Linux, когда доступ к оболочке требуется немногим постоянным разработчикам?

Лучшая практика - нанимать людей, которым можно доверять, и делать это достойной частью процесса найма. У нас есть 150 разработчиков, у каждого из которых есть доступ к производственным системам для устранения неполадок и развертывания кода. У них также есть доступ к копиям производственных данных, из которых удалены только данные кредитной карты.

Это невозможно сделать, если вы не доверяете своим сотрудникам, поэтому вам лучше убедиться, что вы можете им доверять :)

1. Убедитесь, что у каждого разработчика есть собственная учетная запись (вы можете использовать SSH-аутентификацию с открытым ключом вместо аутентификации по паролю).
2. Ограничьте доступ ssh к определенным диапазонам IP-адресов и / или разрешите доступ только через VPN.
3. Используйте патчи для ядра Linux, например. grsecurity.
4. Убедитесь, что каждый разработчик имеет представление о проблемах безопасности.
5. Используйте какой-нибудь инструмент для мониторинга сервера.
6. Молись.